Comprendre la collecte des journaux dans Microsoft 365
Les journaux d’audit sont essentiels pour la maintenance, la résolution des problèmes et la protection des locataires clients et de l’infrastructure Microsoft 365 interne. En raison de l’échelle à laquelle Microsoft 365 fonctionne, la collecte et le traitement des journaux d’audit doivent être gérés de manière stratégique pour garantir une surveillance efficace et efficace. Le choix des types de données de journal à collecter est d’une importance capitale pour une surveillance efficace, car les journaux fournissent une multitude d’informations sur l’intégrité et la sécurité d’un système d’information. Toutefois, une surveillance efficace nécessite la possibilité de découvrir des signaux significatifs et actionnables à partir du flux perpétuel de données de journal. Nous le faisons dans Microsoft 365 en définissant clairement les types d’événements qui doivent être enregistrés par les composants système, ainsi que les événements consignés dans les données doivent contenir.
Définir des événements auditables
Pour discerner des signaux explicites à partir de données de journal, il est vital d’auditer les événements de façon cohérente sur les composants système. L’équipe de sécurité Microsoft 365 est chargée de définir les journaux de base qui doivent être collectés dans Microsoft 365, y compris les événements d’intérêt pour la surveillance de la sécurité et la réponse aux incidents, ainsi que les événements de diagnostic pour prendre en charge l’intégrité du service et identifier les problèmes système. La liste des événements pouvant être audités et des données associées est informée par les évaluations des risques en cours, les normes de sécurité Microsoft 365, les exigences métier et les exigences de conformité. En plus de la liste des événements d’audit définis par l’équipe de sécurité Microsoft 365, les équipes de service peuvent définir des exigences de journalisation supplémentaires pour leur service.
La liste des événements pouvant être audité inclut les événements de système d’exploitation provenant des journaux de sécurité et des applications, des systèmes de détection d’intrusion basés sur l’hôte et des événements liés au contrôle d’accès. Par exemple, les services Microsoft 365 sont requis pour auditer l’accès privilégié. L’accès privilégié dans les environnements de production Microsoft 365 est géré par Lockbox et Customer Lockbox pour appliquer l’accès permanent aux zéros (ZSA). Toutes les demandes d’accès juste-à-temps (JIT) sont consignées via Lockbox et Customer Lockbox. De plus, les commandes privilégiées exécutées par les ingénieurs d’équipe du service à l’aide de l’accès JIT temporaire sont enregistrées et rendues disponibles via la journalisation centralisée et la création de rapports. Ces événements de contrôle d’accès fournissent des données essentielles pour la surveillance de la sécurité et les investigations d’incident. Il leur fournit également un enregistrement pouvant être audité des actions de Customer Lockbox effectuées par les membres du personnel de Microsoft en relation avec le client.
L’équipe de sécurité Microsoft 365 examine et met à jour la liste des événements pouvant être audités afin de tenir compte de nouvelles menaces, de modifications système, de leçons tirées des incidents passés et de modifications des exigences de conformité. Au minimum, cet examen a lieu chaque année, tandis que les événements auditables au niveau du service sont examinés et mis à jour chaque fois qu’une modification importante du système est apportée. Les événements spécifiques aux applications sont examinés et mis à jour lors de la révision des services et des phases de planification des jalons de fonctionnalité. L’équipe de sécurité Microsoft 365 aide également à guider ces équipes de service individuelles sur les fonctions d’audit pour répondre à leurs besoins spécifiques. En raison de l’échelle de Microsoft, la quantité de données capturées doit être équilibrée avec la possibilité de les stocker et de les traiter. En étant sélectif avec les types de données de journal collectées, Microsoft peut maintenir l’intégrité et la sécurité de ses systèmes d’information de manière efficace et efficace. Par conséquent, les exigences de journalisation dans les services Microsoft 365 incluent des événements qui doivent être capturés par chaque composant système et les données que chaque événement journalisé doit contenir. En examinant et en mettant à jour en permanence la liste des événements pouvant être auditables, Microsoft peut s’armer des données nécessaires pour détecter et répondre aux menaces de sécurité, fournir un service optimal aux clients et répondre aux exigences de conformité.
Contenu de l’événement
Les données contenues dans ces événements sont aussi importantes que les types d’événements collectés. Les événements journalisés doivent disposer d’informations suffisantes pour assurer une surveillance précise et des investigations d’incident efficaces. La sécurité Microsoft 365 exige que les entrées de journal contiennent suffisamment d’informations pour déterminer le type d’événement qui s’est produit, ainsi que la source et le résultat de l’événement. Pour établir un classement correct, tous les événements doivent être datés selon le temps universel coordonné (UTC). De plus, les journaux des événements doivent enregistrer l’emplacement où l’événement s’est produit, tous les utilisateurs ou hôtes système impliqués dans l’événement, ainsi que les autres détails pertinents pour le type d’événement. Par exemple, les détails propres aux événements réseau peuvent inclure les adresses réseau et les protocoles utilisés, ainsi que les noms d’hôtes source et cible. La normalisation des exigences de contenu d’événement garantit que nos journaux fournissent le niveau de détail requis pour les besoins prévus.
Application de notre stratégie de journalisation
Microsoft 365 applique les exigences de journalisation au niveau de l’ordinateur dans le cadre du processus de déploiement. Les images de référence incluent un agent de journalisation personnalisé appelé ODL (Office Data Loader). Le groupe ODL est configuré pour collecter les événements définis par la sécurité Microsoft 365 et envoyer ces événements aux services centralisés à des fins de traitement et de stockage. Les données de journal sont chiffrées pendant le transit et sont nettoyées pour les informations de l’utilisateur final avant leur téléchargement vers le service de stockage de journal central.